-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2016-0601 JPCERT/CC 2016-02-10 <<< JPCERT/CC WEEKLY REPORT 2016-02-10 >>> ―――――――――――――――――――――――――――――――――――――― ■01/31(日)〜02/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】Windows 版 Oracle Java に脆弱性 【3】WordPress に複数の脆弱性 【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題 【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題 【今週のひとくちメモ】「CSIRT 人材セミナー」開催 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2016/wr160601.html https://www.jpcert.or.jp/wr/2016/wr160601.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 PHP Group PHP 7.0.3 Released https://secure.php.net/archive/2016.php#id2016-02-04-1 PHP Group PHP 5.6.18 is available https://secure.php.net/archive/2016.php#id2016-02-04-3 PHP Group PHP 5.5.32 is available https://secure.php.net/archive/2016.php#id2016-02-04-2 概要 PHP には、複数の脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性 があります。 対象となるバージョンは以下の通りです。 - PHP 7.0.3 より前のバージョン - PHP 5.6.18 より前のバージョン - PHP 5.5.32 より前のバージョン この問題は、開発者や配布元が提供する修正済みのバージョンに PHP を更新 することで解決します。詳細は、開発者や配布元が提供する情報を参照してく ださい。 関連文書 (英語) PHP Group PHP 5 ChangeLog Version 7.0.3 http://www.php.net/ChangeLog-7.php#7.0.3 PHP Group PHP 5 ChangeLog Version 5.6.18 http://www.php.net/ChangeLog-5.php#5.6.18 PHP Group PHP 5 ChangeLog Version 5.5.32 http://www.php.net/ChangeLog-5.php#5.5.32 【2】Windows 版 Oracle Java に脆弱性 情報源 Oracle Technology Network 8u73 Update Release Notes http://www.oracle.com/technetwork/java/javase/8u73-relnotes-2874654.html 概要 Oracle Java には脆弱性があります。結果として、遠隔の第三者が、細工した ファイルをユーザにダウンロードさせた状態で Java をインストールさせるこ とで、任意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - JDK/JRE 6u113 (Windows 版) より前のバージョン - JDK/JRE 7u97 (Windows 版) より前のバージョン - JDK/JRE 8u73 (Windows 版) より前のバージョン この問題は、Oracle Technology Network が提供する修正済みのバージョンに 該当する製品を更新することで解決します。詳細は、Oracle Technology Network が提供する情報を参照してください。 関連文書 (英語) Oracle Technology Network Oracle Security Alert for CVE-2016-0603 http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0603-2874360.html US-CERT Current Activity Oracle Releases Security Updates for Java https://www.us-cert.gov/ncas/current-activity/2016/02/08/Oracle-Releases-Security-Updates-Java 【3】WordPress に複数の脆弱性 情報源 US-CERT Current Activity WordPress Releases Security Update https://www.us-cert.gov/ncas/current-activity/2016/02/02/WordPress-Releases-Security-Update 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、機 微な情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 4.4.1 およびそれ以前 この問題は、WordPress が提供する修正済みのバージョンに WordPress を更 新することで解決します。詳細は、WordPress が提供する情報を参照してくだ さい。 関連文書 (日本語) WordPress WordPress 4.4.2 セキュリティとメンテナンスのリリース https://ja.wordpress.org/2016/02/03/wordpress-4-4-2-security-and-maintenance-release/ 【4】Huawei E5151 および E5186 に不十分なランダム値を使用している問題 情報源 CERT/CC Vulnerability Note VU#972224 Huawei Mobile WiFi E5151 and E5186 routers use insufficiently random values for DNS queries https://www.kb.cert.org/vuls/id/972224 概要 Huawei E5151 および E5186 には、不十分なランダム値を使用している問題が あります。結果として、遠隔の第三者が、偽装した DNS レスポンスを送信する ことで、ユーザを意図しないサーバに誘導する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Huawei E5151 firmware version E5151s-2TCPU-V200R001B141D13SP00C1080 - Huawei E5186 firmware version V200R001B306D01C00 この問題は、Huawei が提供する修正済みのバージョンに該当する製品のファー ムウェアを更新することで解決します。詳細は、Huawei が提供する情報を参 照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92574416 Huawei E5151 および Huawei E5186 に不十分なランダム値を使用している問題 https://jvn.jp/vu/JVNVU92574416/ 関連文書 (英語) Huawei Security Advisory - DNS Static Source Port Vulnerability in Huawei E5186 http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20160129-01-dns-en 【5】OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題 情報源 CERT/CC Vulnerability Note VU#544527 OpenELEC and RasPlex have a hard-coded SSH root password https://www.kb.cert.org/vuls/id/544527 概要 OpenELEC と RasPlex には、root の SSH パスワードがハードコードされてい る問題があります。結果として、遠隔の第三者が、root 権限で機器にアクセ スする可能性があります。 対象となる製品は以下の通りです。 - OpenELEC - RasPlex 2016年2月9日現在、対策済みのバージョンは公開されていません。以下の回避 策を適用することで、本脆弱性の影響を軽減することが可能です。 - パスワード認証による SSH 接続を無効にする - 異なるパスワードを使用してビルドする - ネットワークアクセスを制限する 詳細は、開発者が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#99850969 OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題 https://jvn.jp/vu/JVNVU99850969/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「CSIRT 人材セミナー」開催 2016年2月23日、日本シーサート協議会 (NCA) および東京電機大学 国際化サ イバーセキュリティ学特別コース (CySec) の主催で「CSIRT 人材セミナー」 が開催されます。 これは NCA の CSIRT 人材サブワーキンググループが 2015年11月に公開した 資料「CSIRT 人材の定義と確保」の解説を中心としたもので、セキュリティ人 材の採用や育成を担当する方を対象としています。参加費は無料です。 参考文献 (日本語) 日本シーサート協議会 CSIRT 人材セミナー 〜 サイバーセキュリティを担う人材とは 〜 http://www.nca.gr.jp/2016/pr-seminar/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2016 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJWun/RAAoJEDF9l6Rp7OBIUcYH/0DcofrfebWTtI/okpedD69S LHpOJT7EAfkRXvwzBgKeWAX+wPnIlZEJ6+KTLDcAOu3Srz6ctpA40TPxfbitjDE1 AU941C1ifvhLtBTRxzZTKO0go4eIwiovcn6CMPGVEnCffHK3vQB/lAVYZYrMPFzr ev3kyYdBbvV8T7HQBzm6fgoW25DQgT7E/+qUOOJRmWK9QSzkxlgBEY+Nv2HWaU3Z aLo5SjzMb3BWTwbEW49nzLTvVHym5qiNXjpVA6OXEXh7ko55b/vY+M/1i77dDBI4 iZbHtDcQlQiNgdMiO+Tc9Og5SBzekslg0D4c1NusS0VibHyKX+hQMbw6AqTW5WU= =3Opz -----END PGP SIGNATURE-----